(12) NACH DEM VERTRAG UBER DIE INTERNATIONALE ZUSAIV1MENARBEIT AUF DEM GEBIET DES 
PATENTWESENS (PCT) VEROFFENTL1CHTE INTERNATIONALE ANMELDUNG 



(19) Weltorganisation fur geistiges Eigentum 
Internationales Biiro 

(43) Internationales Veroffentlichungsdatum 
26. April 2001 (26.04.2001) 




mi iii i ii 



(10) Internationale Veroffentlichungsnummer 

PCT WO 01/29638 A2 



(51) Internationale Patentklassifikation 7 : G06F 1/00 (72) 

(75) 

(21) Internationales Aktenzeichen: PCT/DE00/03649 

(22) Internationales Anmeldedatum: 

17. Oktober 2000 (17.10.2000) 



(25) Einreichungssprache: 

(26) Veroffentlichungssprache: 



Deutsch (74) 
Deutsch 



(30) Angaben zur Priorttat: 

199 50 249.8 18. Oktober 1999 (18.10.1999) DE 



Erfinder; und 

Erflnder/Anmelder (nur fur US): GRIEB, Herbert 

[DE/DE]; Maronenweg 4, 76316 Malsch-Sulzbach (DE). 
MULLER, Peter [DE/DE]; Potsdamer Ring 24b, 76344 
Eggenstein (DE). 5 

Gemeinsamer Vertreter: SIEMENS AKTIENGE- 
SELLSCHAFT; Postfach 22 16 34, 80506 Miinchen 
(DE). 



(81) Bestimmungsstaaten (national): CN, JP, US. 



(71) An m elder (fur alle Bestimmungsstaaten mit Ausnahme von (84) 
US): SIEMENS AKTIENGESELLSCHAFT [DE/DE]; 
Wittelsbacherplatz 2, 80333 Miinchen (DE). 



Bestimmungsstaaten (regional): europaisches Patent (AT, 
BE, CH, CY, DE, DK, ES, FI, FR, GB, GR, IE, IT, LU, MC, 
NL, PT, SE). 



[Forisetzung auf der nachsten Seite] 



(54) Title: ELECTRONIC DEVICE 

(54) Bezeichnung: ELEKTRONISCHES GERAT 



< 

oo 
m 

ON 




o 



(57) Abstract: The invention relates to an electronic device comprising software protection for runtime-software. At least one 
functional block (4 ... 11) of the runtime software has a priority value. A maximum permissible value for the runtime software is 
retrievably stored in one device (1 2). An arithmetic unit (1 ) determines the total value of the functional blocks of the runtime-software 
and a display signal (14) is given if the total value exceeds the maximum permissible value. Functional blocks and value blocks 
can have an OEM identification code, such that the system producer and OEM can, independently of each other, create a software 
protection. 
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veroffentlichen nach Erhalt des Berichts. Codes and Abbreviations") am Anfang jeder reguldren Ausgabe 
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(57) Zusammenfassung: Die Erfindung betrifft ein elektronisches Gerat mit Softwareschutz fiir Runtime-Software. Zumindesl ein 
Funktionsbaustein (4 ... 11) der Runtime-Software wird mit einer Wertigkeit versehen. In einer Einrichtung (12) ist eine maxi- 
mal zulassige Wertigkeit fiir die Runtime-Software auslesbar hinterlegt. Durch eine RecheneLnheit (1) wird die Summenwertigkeit 
der Funktionsbausteine der Runtime-Software bestimmt und ein Anzcigesignal (14) ausgegeben, wenn die Summenwertigkeit die 
maximal zulassige Wertigkeit tibersteigl. Funktionsbausteine und Wertigkeitsbausteine konnen mit einer OEM-Kennung versehen 
werden, so dafi Systemhersteller und OEM unabhangig voneinander einen Softwareschutz gestalten konnen. 
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Beschreibung 
Elektronisches Gerat 

Die Erf indung/betrif f t ein elektronisches Gerat mit Soft- 
wareschutz. Das elektronische Gerat weist, eine Recheneinheit 
zur Abarbeitung eines Programms und.einen Speicher auf, in 
dem eine Betriebssystem-Sof tware und Runtime-Software fur die 
Recheneinheit geladen ist. 

Vorausset zung fur eine gewinnbringende Vermarktung von Soft- 
ware ist ein entsprechender Schutz, der verhindext, daft die 
Software von Ahwendern mehrfach eingesetzt. wird, obwohl kein 
entsprechendes 'Nutzungsrecht erworben wurde. Deshalb 1st ein 
technisches Mittel zum Schutz der Software vor unerlaubter 
Nutzung er f orderlich . Insbesondere bei Automatisierungs- 
geraten, bei denen durch Zusammenschalten verschiedener Funk- 
tionsbausteine ein Steuerungsprogramm gebildet wird, ist ein 
Schutz notwendig, der eine unerlaubte Mehrf achverwendung der 
Funktionsbausteine verhindert. Dabei soil es sich nicht urn 
einen Kopierschutz handeln, wie er bei vielen Software- • 
produkten fur Personal Computer ublich ist. Schutz vor un- 
erlaubter Mehrf achverwendung bedeutet, daft eine ' Software auf 
. einem Automat isierungsgerat nur dann ablauft,. wenn der An- 
wender das Recht dazu erworben hat, d. h., wenn vom Her- 
steller eine Lizenz erteilt wurde. 

Ein Schutz vor einer . unerlaubten Mehrf achverwendung von 
Software konnte an eine eindeutige Kennung des elektronischen 
Gerats, beispielsweise eine Seriennummer , gekoppelt werden. 
Die Software konnte so -ausgefuhrt werden, daft sie nur auf dem 
Zielsystem ablauffahig ware, fur das sie freigegeben wurde. 
Das hatte jedochden Nachteil, daft der Schutz nicht uberall 
anwendbar.ware, da derzeit nicht in alien Zielsystemen 
Seriennummern vorhanden sind, und daft wegen der • Kopplung an 
ein einzelnes Zielsystem ein Wechsel auf ein anderes, bau- 
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gleiches Zielsystem bei Ausfall des ursprunglichen Ziel- 
systems schwer moglich ware. 

Eirie weitere Moglichkeit zum Schutz vor unerlaubter Mehrf ach- 
verwendung ware es, im Engineering-System das Laden von ge- 
schutzter Software auf ein Zielsystem anhand einer eindeuti- 
gen Kennung des Zielsystems, z. B. einer Seriennummer , zu 
uberwachen. Auch diese Moglichkeit wird verworfen, da Ziel- 
systeme meist. nicht uber eine Seriennummer verfugen und ein 
Wechsel auf ein anderes, baugleiches Zielsystem bei Ausfall 
eines Zielsystems nur schwer moglich ware. Die Wirksamkeit 
des Schut zmechanismus ware in diesem Fall nur auf ein.Engi- 
neering-System beschrankt. Deshalb waren beim Engineering- 
System zusatzliche MaUnahmen fur einen Sof twarekopierschutz 
erf orderlich . 

Alternativ konnte die geschiitzte Software mit Namensdekla- 
rationen, z. B. einem Pro j ektnamen, verknupft werden. Das 
Engineering-System miifite. dann iiberpriifen, ob die geschiitzte 
Software bei unterschiedlichen Projekten eingesetzt werden 
soil, und dies gegebenenf alls unterbinden. Diese Maftnahme 
ware ohne weitere E.rganzungen allerdings nicht ausreichend, 
da Software prinzipiell auch' aufierhalb des Engineering- 
Systems dupliziert werden kann . Eine sichere Schutzf unkt ion 
wurde damit nicht erfullt. 

Eine weitere Moglichkeit konnte darin gesehen werden, die 
Vervielf altigung von geschutzter Runtime-Software durch ein . 
Kopierschut zprogramm ahnlich dem Programm „StopCopy NX zu 
unterbinden. Dieser, Kopierschut z miiftte sowohl im Bereich der 
Engineering-Systeme als auch der Zielsysteme wirken. Hin- 
sichtlich t eines solchen Kopierschut zes bestehen jedbch Ak- 
zeptanzprobleme beim Systemhersteller und beim Anwender wegen 
des schwierigen Handlings, insbesondere bei verlorenen Nut- 
zungsrechten. Zudem mulite der Schut zmechanismus in der Soft- 
ware des Engineering-Systems und auf alien Komponenten des 
Zielsystems implementiert werden. 
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Der Erfindung liegt die Aufgabe zugrunde, ein elektronisches 
Gerat zu schaffen, das mit einem wirkungsvollen Schutz gegen 
unerlaubte Mehrf achverwendung von. Software ausgestattet ist 
und sich durch eine gute Handhabbarkeit der Software bei Her- 
steller und Anwender ausz.eichnet. 

Zur Losung dieser Aufgabe weist das neue elektronische Gerat 
der eingangs genannten Art die in Anspruch 1 angegebenen 
Merkmale auf . In den Anspriichen 6 und 7 sind eine Einrichtung 
bzw. ein Funktionsbaustein beschrieben, die zur Verwendung in 
dem neuen elektronischen Gerat geeignet sind . . Vorteilhaf te 
Weiterbildungen der Erfindung sind in den Unteranspruchen 
angegeben . 

In vorteilhaf ter Weise wird durch die Erfindung ein Schutz 
von Runtime-Software ermoglicht, die auf ein Zielsystem ge- 
ladeh ,wird und auf dem Zielsystem ablauft . Unter dem Begrif f 
„Funktionsbausteine der Runtime-Software" werden System- 
funktionsbausteine, Standardf unktionsbausteine, Anwender- 
funktionsbausteine, mit Hilfe eines grafischen Projektie- 
rungswerkzeugs, das auch als Continudus-Funct ion-Chart be- 
zeichnet wird, erzeugte Funktionsbausteine, ladbare Treiber, 
Betriebssystem-Add-Ons Oder andere, auf eine Recheneinheit 
ladbare, optionale Sof twaremodule verstanden. 

Generell konnen beim Sof twareschut z zwei Auspragungen unter- 
schieden werden. Das ist zum einen der technologische Schutz 
und zum anderen der Schutz vor einer unerlaubten Mehrfach- 
verwendung. Durch den technologischen Schutz wird verhindert, 
dail Anwender den Source-Code der Software lesen oder auf ihn 
zugreifen konnen. Durch diese Maftnahme wird das technologi- 
sche oder sof twaretechnische Know-how des Herstellers ge- 
schutzt. Der technologische Schutz ist beispielsweise bei 
SIMATIC S7-Automatisierungssystemen der Siemens AG durch das 
Attribut KNOWHOW-Protect gewahr lei s tet . Die durch Software- 
Funktionsbausteine realisierten technologischen Funktionen 
sind damit fur den Anwender nicht zuganglich. Mit dem Begrif f 
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„Runtime-Sof tware" wird in diesem Zusammenhang jegliche Art- 
von ladbaren und auf einem Zielsystem ablauf f ahigen Program- 
men bezeichnet. Dies konnen beispielsweise Systemf unktions- 
bausteine, Funkt ionsbausteine fur technologische Funktionen 
5 und Betriebssystemf unkt ionsbausteine sein. 

Ein Nut zungsrecht erlaubt dem Anwender die Nutzung der Soft- 
ware auf einem Zielsystem, beispielsweise einem Automatisie- 
rungsgerat. Innerhalb des Zielsystems kann die Software be- 

10 liebig oft verwendet werden. Das Nut zungsrecht bezieht sich 
somit auf die Verwendung des Bausteintyps und.nicht auf die 
mit diesem Baustein jeweils realisierte Bausteininstanz 
innerhalb der Runtime-Software. Die Software wird entspre- 
chend der fur sie festgelegten Wertigkeit geschutzt, Es wird 

15 iiberpriift, ob die auf einem Zielsystem verwendete geschutzte 
Software in Summe durch die in einer Einrichtung hinterlegte 
maximale Wertigkeit gedeckt ist. Die Runtime-Software kann 
nur im Rahmen der erlaubten Nut zungsrechte auf dem Zielsystem 
verwendet werden. Eine Nutzung ist nur mdglich, wenn fur ge- 

20 schutzte Software ein entsprechender Gegenwert in der Ein- 
richtung hinterlegt ist. Der Mehraufwand beim Systemherstel- 
ler fur das Handling von geschlitzter Software ist im Ver- 
gleich zum Handling von ungeschut zter Software in bezug auf 
Vertrieb und Support minimal. Dabei kann geschutzte Software 

25 uber verschiedene Wege, wie z. B. Diskette, CD, Memory Card 
Oder Internet , vermarktet . werden. Fur einen Anwender ergeben 
sich beim Handling von geschlitzter Software allenfalls ge- 
ringfugige Anderungen gegenuber dem Handling ungeschut zter 
Software. Zudem. ist ein Handling und gemeinsamer Betrieb von 

30 geschiitzter und nicht geschutzter Software moglich. Auf den 
Aufwand fur Support durch den Sof twarehersteller wir kt e's 
sich gunstig aus, daft im storungsf reien Betrieb keine Inter- 
aktionen liber eine Hotline zwischen Anwender und Hersteller 
erforderlich sind. Es mussen z. B. keine Regist rierungs- oder 

35 Autorisierungsnummern zum Betrieb der Software angefordert 
werden. Ist die hinterlegte Wertigkeit im elektronischen 
Gerat zum Betrieb der Runtime-Software' nicht ausreichend, so 
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sind eindeutige Hinweise durch das System an den Anwender 
moglich. Unterschiedliche Versionen des Betriebssystems des 
elektronischen Gerats, z. B. bei Updates oder Upgrades, be- 
einflussen nicht die Verweridung von geschutzter Software. 
5 Beim Handling neuer Versionen komirien keine neuen Schutz- . 
mechanismen hinzu, 

Der Schutz ist nicht an die einzelne Softwarekomponente, 
sondern an ihre Wertigkeit gekoppelt. Dadurch ergibt sich 

10 eine wesentlich einfachere und flexiblere Handhabung beim 

Systemhersteller wie beim Anwender. Z. B. ist.ein Austausch 
oder eine Erganzung von geschutzten Sof twarekomponenten ohne 
weiteres moglich, solange der Wert des Nut zungsrecht s aus- 
reichend ist. 

15 .., 

In vorteilhaf ter Weise erfordert der Sof twareschut z keine 
f este. Zuordnung zwischen einer Hardwarekomponente , die haufig 
als Dongle bezeichnet wird, und einer best immten geschutzten 
Software. Dies vereinfacht die Handhabung beim Anwender er- 
20 heblich, da keine unterschiedlichen Dongles fur. verschiedene 
Sof twarekomponenten verwendet werden mussen und die geschutz- 
te Software nicht nur auf einem einzigen Zielsystem ablaufen 
kann. 

25 Daruber hinaus wirkt der Schut zmechanismus nur zur Laufzeit 
der geschutzten Software. Sie kann daher vor dem Einsatz auf 
einem Zielsystem wie ungeschutzte Software gehandhabt und 
beispieisweise beliebig oft kopiert werden. Mit Kopierschutz- 
programmen verbundene Probleme werden somit vermieden. Der 

30 Wertigkeit kann direkt und flexibel ein Preis zugeordnet 
werden. 

Die Einrichtung, in welcher die maximal zulassige Wertigkeit 
fur die Runtime-Software auslesbar hinterlegt ist, als ein in 
35 das elektronische Gerat einsetzbares oder an das elektroni- 
sche Gerat anschlieftbares Hardwaremodul auszubilden, hat den 
Vorteil, daft eine leichte Anpaftbarkeit der Wertigkeit bei 
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Softwareanderungen erreicht wird. Zudem ist der Schutz der 
Software ohne einen aufwendigen Eingriff in die Hardware des 
elektronischen Gerats realisierbar . Wenn der Anwender ge- 
schutzte Software einsetzt, benotigt er - abgesehen von dem 
leicht austauschbaren Hardwaremodul -.keine zusatzlichen 
Komponenten zu den vorhandenen Systemkomponenten . Bezuglich 
eines Austauschs einzelner Baugruppen des elektronischen 
Gerats gibt es keinen Unterschied im Verhalten von geschutz- 
ter und nicht geschutzter Software. Die bisherige Software 
kann ohne Anderungen bei Austausch einzelner Baugruppen 
weiterverwendet werden. 

Die Verwendung einer Memory Card als Hardwaremodul hat ins- 
besondere bei Automatisierungsgeraten den Vorteil, dali keine 
zusatzliche Hardwarekomponente erforderlich ist, da eine 
Memory Card ohnehin meist eingesetzt wird. Ein komplizierter 
Hardwareeingrif f ist iiberflussig, da die Memory Card in ein- 
facher Weise in den daf tir . vorgesehenen Schacht eingeschoben 
werden kann. Die Sicherheit einer Memory Card ist fur die 
Schutzfunktion ausreichend. Ein Erstellen einer Kopie mit 
ebenfalls giiltiger Wertigkeit ist nicht ohne weiteres mog- 
lich. 

Vorteilhaft kann. die Einrichtung, in welcher die maximal zu- 
lassige Wertigkeit fur die Runtime-Software auslesbar hinter- 
legt ist, eine eindeutige Identif ikation, insbesondere eine 
Seriennummer, aufweisen und die ' hinterlegte Wertigkeit als 
ladbarer Wert igkeit sbaustein ausgebildet werden, der nur fur 
die Einrichtung mit der jeweiligen Identif i kat ion Gultigkeit 
besitzt. Dadurch ist der Wert von Nutzungsrechten leicht zu 
erhohen, indem ein anderer Wertigkeitsbaustein mit dem be- 
notigten Wert in die Einrichtung geladen wird. Die Vermark- 
tung von Wertigkeit sbausteinen ist beispielsweise uber Inter- 
net automatisierbar . Ein Handling von Hardwarekomponenten 1st 
dazu nicht erforderlich.. Damit werden sogenannte Wertigkeits- 
leichen vermieden. Mit dem Begriff „Wertigkeitsleiche" wird 
eine Einrichtung bezei.chnet, in der eine maximal zulassige 
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Wertigkeit fest hinterlegt 1st, die fur den konkreten An- 
wendungsfall nicht mehr ausreichend ist, z. B. weil die 
Anwendung zwischenzeit lich um weitere geschutzte Software-, 
komponenten erganzt wurde. Da. eine Erhohung der Wertigkeit 
ohne nachladbare Wertigkeitsbausteine entweder ganzlich un- 
moglich ware oder nur vom Hersteller der Einrichtung vor- 
genommen werden konnte, ware eine derartige Einrichtung fur 
den Anwender wertlos geworden. Wertigkeitsbausteine integrie- 
ren sich nahtlos in die bestehende Sof twarelandschaf t von- 
Automatisierungsgeraten, da es sich prinzipiell um Funktions- 
bausteine handelt. 

Wenn die Funkt ionsbaus teine in Gruppen, insbesondere nach 
Herstellern, mit jeweils ziigeordneten Wert igkeitsbausteinen 
untergliedert werden,. hat dies den Vorteil, daft Funktions- 
bausteine verschiedener Hersteller iiber eine einzige Ein- 
richtung, auf welcher jeweils die maximal zulassigen Wertig- 
keitenr hinterlegt sind, geschutzt werden konnen. Bei nach- 
ladbaren Wertigkeitsbausteinen konnen sogenannte Original 
Equipment Manufacturer (OEM) , d. h. Anwender, die selbst 
Software erstellen und vermarkten, ihre. Software eigenstandig 
und ohne direkte Unterstiitzung durch den Hersteller des elek- 
tronischen Gerats. schutzen. Eine " Wert igkeitsvergabe oder Er- . 
hohung beim Anwender ist unmittelbar, lokal und hardware- 
unabhangig • vom Systemhersteller oder OEM moglich. Ein Ver- . 
senden beispielsweise einer neuen Memory Card, auf welcher 
die neue, maximal zulassige Wert igkeit hinterlegt ist, ist 
nicht erf orderlich, da eine datentechnische Kopplung zur 
Hinterlegung einer neuen Wertigkeit ausreicht. 

Anhand der Zeichnungen, in denen ein Ausf uhrungsbeispiel der 
Erfindung dargestellt ist, werden im folgenden die Erfindung 
sowie Ausgestaltungen und Vorteile naher erlautert. 

Es zeigen: 

Figur 1 ein Blockschaltbild eines elektronischen Gerats rait 
Sof twareschut z , 
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Figur 2 ein Blockschaltbild einer Einrichtung, in welcher 

Wertigkeiten hinterlegt sind, 
Figur 3 eine Einrichtung zur. Hinterlegung von Wertigkeiten 

und Funktionsbausteinen zur Verdeutlichung des 

Wirkungsprinzips, 
Figur 4 eine Eingabemaske zur Erstellung von Wertigkeits- 

bausteinen, 

Figur. 5 und Figur 6 jeweils ein Ablaufschema zur Uberprufung 
ausreichender Nutzungsrechte. 

Gemaft Figur 1 ist ein elektronisches Gerat mit einer Rechen- 
einheit 1 ausgestattet, die mit Hilfe einer Bet.r iebssystem- 
Software in einera Speicher 2 eine Runtime-Software in einem 
Speicher 3 abarbeitet, die applikationsspezif isch ausgefuhrt 
und beispielswei.se bei Automatisierungsgeraten an die je- 
weilige Steuerungsauf gabe angepalit ist. In dem gezeigten Aus- 
f uhrungsbeispiel enthalt die Runtime-Software . insgesamt acht 
Funktionsbausteine 4 . . 11. Die Fuiiktionsbausteine 4, 5 und 
6 sind ungeschutzt und weisen daher keine Wertigkeit auf . Da- 
gegen sind die Funktionsbausteine 7 ... 11 jeweils mit einer 
Wertigkeit versehen, die prinzipiell den Wert des Nutzungs- 
rechts darstellt. Jedem geschutzten Funkt ionsbaustein ist 
somit eine Wertigkeit zugeordnet . Ein Anwender, der die ge- 
schutzten Funktionsbausteine einsetzen mochte, erwirbt ein 
Nutz.ungsrecht mit einem bestimmten Wert.. Dieses Nut zungsrecht 
wirddurch eine maximal zulassige Wertigkeit fur die Runtime- 
Software wiedergegeben, die in einer Einrichtung 12 auslesbar 
hinterlegt ist". Der Anwender kann geschiitzte Software ein- 
setzen, solange die Summenwert igkeit der geschutzten Software 
durch den Wert des Nut zungsrecht s gedeckt ist. Die maximal 
zulassige Wertigkeit ist gemeinsam mit der Runtime-Software 
auf einer Memory Card 13 abgespeichert . Alternativ zum dar- 
gestellten Ausf uhrungsbeispiel kann auch der Speicher fur die 
Betriebssystem-Sof tware auf demselben Speichermedium angeord- 
net werden. Die Recheneinheit 1 uberpruft anhand der Be- 
triebssystem-Sof tware im Speicher. 2, ob die Summenwert igkeit 
aller geschutzten Funktionsbausteine, d. h. der Funktions- 
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bausteine 7 ... 11 , die in der Einrichtung 12 hinterlegte, 
maximal zulassige Wertigkeit uberschreitet . 1st dies der 
Fall, so liegt eine Schutzverlet zung vor und es wird ein 
Anzeigesignal 14 ausgegeben, das eine vorbestimmte Reaktion 
5 zur Folge haben kann. 

Figur 2 zeigt eine Memory Card 13 zur Realisierung der Ein- 
richtung 12 mit nachladbaren Wertigkeitsbausteinen . In einem 
Kennbitspeicher 20 der Memory Card 13 ist eine Seriennummer 

10 21 in einer Speicher zelle hinterlegt, die nur durch den Her- 
steller der Memory Card 13 und nicht durch den Anwender be- 
schrieben werden kann. Diese Seriennummer 21 ermoglicht eine 
eindeutige Identif izierung der Memory Card 13. Wertigkeits- 
bausteine 22, 23 und 24 sind herstellerspezif isch und in * 

15 einem freien Speicherbereich 25 der Memory Card 13 hinter- 
legt. -Der Wertigkeitsbaustein 22 ist fur den Hersteller des 
elektronischen Gerats, die Wertigkeitsbausteine 23 und 24 
sind fur einen ersten OEM bzw. einen zweiten OEM vorgesehen. 
Der Hersteller und die OEM konnen somit ihre eigenen Wertig- 

20 keitsbausteine herstellen und eigene Nut zungsrechte an den 
Anwender vergeben. Im freien Bereich 25 der Memory Card 13 
ist weiterhin die Runtime-Software abgelegt, die in Figur 2 
der Ubersichtlichkeit wegen nicht dargestellt ist. Wertig- 
keitsbausteine sind hinsichtlich der Sof twarestruktur mit 

25 Funktionsbausteinen identisch und somit wie Funkt ionsbau- 

steine handhabbar. Sie haben allerdings keinen ablauf f ahigen 
Programmcode. Gultigkeit besitzen die Wertigkeitsbausteine 
22, 23 und 24 nur in Verbindung mit einer bestimmten Serien- 
nummer 21. 

30 

Die Abhangigkeiten zwischen Seriennummer, Wertigkeitsbaustein 
und geschutztem Funktionsbaustein sind in Figur 3 darge- 
stellt. Beispielsweise enthalt ein geschutzter Funktionsbau- 
stein 30 eine Hersteller kennung 31, die aus einem lesbaren 
35 Herstellernamen und einem dem Anwender versteckten Password 
besteht. Dieselbe Hersteller kennung muft auch als Hersteller- 
kennung 38 in einem Wertigkeitsbaustein 32 vorhanden sein, 



WO 01/29638 



PCT/DE00/03649 



10 

damit dieser eindeutig dem Hersteller des Funktionsbausteins 
30 zugeordnet werden kann. Fur den Anwender wiederum un- 
zuganglich sind im Wertigkeit sbaustein 32 eine Seriennummer 
33 und eine maximal zulassige Wertigkeit 34 abgelegt. Uber 
die Seriennummer 33 wird die Einmaligkeit des Wertigkeits- 
bausteins 32 sichergestellt und gewahrleistet , daft er nur fur 
die Einrichtung Gultigkeit besitzt, deiren in einem Kennbit- 
speicher 35 abgelegte. Seriennummer 37 mit der Seriennummer 33 
des Wertigkeitsbausteins 32 iibereinst immt . Durch die Uber- . 
prufung der Ser iennummern 33 und 37 auf Ubereinstimmung wird 
eine mehrfache Verwendung von Wertigkeit sbausteinen ver- 
hindert. Weiterhin ist im Funkt ionsbaustein 30 eine Wertig- 
keit 36, d. h. ein Wert des Funktionsbausteins 30/ fur den 
Anwender nicht beschreibbar abgelegt. Die Summenwertigkeit 
aller geschutzten Funktionsbausteine eines Herstellers muft 
durch die Wertigkeit 34 auf dem Wert igkeitsbaustein 32 des 
entsprechenden Herstellers gedeckt werden, damit ausreichende. 
Nutzungsrechte vorliegen . 

Eine Verschlusselung der Daten ist nicht notwendig, wenn der 
Inh.alt von Wertigkeitsbausteinen und geschutzten Funktions- 
bausteinen nicht vom Anwender ausgelesen werden kann. Bei 
SIMATIC S7 wird dies durch ein Setzen des Attributs KNOWHOW- 
Protect mit ausreichender Sicherheit gewahrleistet. Sollte 
der Schutz vor unerlaubten Zugriffen nicht ausreichen, mlissen 
die Daten verschlusselt werden. 

Figur 4 zeigt die Bedienober f lache eines Tools zur Erstellung 
von Wertigkeitsbausteinen. Die Hersteller kennung , die in 
Figur 4 als OEM-Kennung bezeichnet wird, kann der OEM frei 
wahlen. Sie besteht aus zwei Teilen. Der sichtbare Teil ist 
der OEM-Name , hier Fa. Softy, der fur Anwender jederzeit les- 
bar ist, um zu -ident if izieren , von welchem Hersteller ein . 
Wertigkeitsbaustein oder eine geschutzte Software stammt. Der 
zweite Teil . ist ein OEM-Password, das nur dem jeweiligen OEM 
bekannt. ist und Anwendern verborgen bleibt. Damit wird ein 
Mifibrauch verhindert, weil nur der OEM, der das Password 
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kenht, in der Lage ist, Wertigkeitsbausteihe zu erzeugen. 
Weiterhin kann in der in Figur 4 dargestellten Eingabemaske 
eine Seriennummer der Memory Card-, hier als MC-Seriennuntmer 
bezeichnet , . und eine Wertigkeit des Wertigkeitsbausteins ein- 
getragen werden. 

Entsprechend Figur 5 kann immer im^ Anlauf eines elektroni-' 
schen Gerats, beim Nachladen von Software oder iri geeigneten 
Abstanden wahrend des Betriebs das ausreichende Vorhandensein 
yon Nutzungsrechten uberpruft werden. Auf einer Memory Card 
50 sind Funktionsbausteine FB und eine Wertigkeit 51 hinter- 
legt. Zur Uberpriifung der Nut zungsrechte werden durch die 
Recheneinheit mit. Hilfe einer geeigneten Betriebssystem-Sdf t- 
ware in einem Schritt 52 das ; Steuerprogramm nach Funktions- 
bausteinen FB durchsucht , ' die Einzelwertigkeiten ausgelesen 
und die Summenwertigkeit berechnet. In einem Schritt 53 wird 
die maximal zulassige Wertigkeit 51 fur die Runtime-Software 
ausgelesen. Danach findet eih Vergleich 54 zwischen der im 
Schritt 52 ermittelten Summenwertigkeit und der maximal zu- 
lassigen Wertigkeit 51 statt. Ubersteigt die Summenwertigkeit 
die maximal zulassige Wertigkeit 51, wird in einem Schritt 55 
ein Anzeigesignal ausgegeben und es erfolgen eventuell wei- 
tere Fehlerreaktionen . Andernfalls wird in einem Schritt 56 
in den. normal en Betrieb ubergegangen : Dabei konnen alle ge- 
schutzten Funktionsbausteine, die sich. auf der Memory Card 50 
befinden, erfaftt werden. Die Prufung erfolgt dann unabhangig 
davon, ob eine Instanz eines Funkt ionsbausteintyps in einen 
Ablauf zyklus eingebaut ist oder nicht. Die jeweilige Ver- 
schaltung der Funktionsbausteine ist- in Figur 5 durch einen 
Programmblock 57 dargestellt. Die beschriebene Uberprufung 
wird fur jeden Hersteller gesondert durchgef uhrt . 

Im folgenden wird eine alternative Moglichkeit zur Uber- 
prufung der Wertig'keiten beschrieben, deren Ablauf in Figur 6 
dargestellt ist. Die Funktionsbausteine FB schreiben jeweils 
beim ersten Aufruf einer durch den Funkt ionsbaustein reali- 
sierten Instanz ihre Wertigkeit und Hersteller kennung in eine 
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Liste des Betriebssystems. Dieser Vorgang entspricht einem 
Schritt 60 des Ablauf s . Wurde das komplette Applikations- 
programm einmal . durchlauf en, so kann davon ausgegangen wer- 
den, daft in der Liste die Wertigkeiten und Hersteller kennun- 
gen aller beteiiigten Funkt ionsbausteine enthalten sind. In 
einem Schritt 61 wird die Liste ausgewertet, indem die 
Wertigkeiten zu einer Summenwert igkeit nach den jeweiligen 
Herstellerkennungen getrennt aufaddiert werden. In einem 
Schritt 62 werden die Wertigkeiten 63 aus den Wertigkeits- 
bausteinen ausgelesen und wiederum in einem Vergleich 64 mit 
den berechneten Summenwert igkeiten verglichen. Liegen aus- 
reichende Nut zungsrechte vor, wird in einen normalen Betrieb 
65 tibergegangen, falls nicht, wird in einem Schritt 66 ein 
Anzeigesignal ausgegeben und eine Reakt ion eingeleitet . Bei 
dieser Art der Oberprufung werden nur die Funkt ionsbausteine 
FB erfaftt, die entsp'rechend einer Verschaltung 67 . in den Ab- 
lauf der Runtime-Software eingebaut sind. 

Fur die anhand der Figuren 5 und 6 beschr iebenen Va.rianten 
gilt, dali die Oberprufung vorzugsweise im Anlauf der Rechen- 
einheit des elektronischen Gerats durchgef lihrt werden mufi . 
Bei Recheneinheiten, die ein Entf ernen der Einrichtung mit 
den hinterlegten, maximal zulassigen Wertigkeiten wahrend des 
laufenden Betriebs ohne Storung zulassen, sollte die Ober- 
prufung zusatzlich in angemessenen Zeitabstanden erfolgen. 

Je nach Anwendung sind verschiedene Reaktionen bei fehlenden 
Nut zungsrechten moglich. Beispielsweise kann zusatzlich zur 
Ausgabe eines Anzeigesignals die Recheneinhei t mit verminder- 
ter Leistungsf ahigkeit weiterarbeiten. Eine schwerwiegendere 
Konsequenz konnte darin bestehen, daB die Recheneinheit bei 
fehlenden Nut zungsrechten in einen Stoppzustand ubergeht und 
somit das elektronische Gerat nicht funkt ions fahig ist. 

Urn die Handhabung des Sof twareschut zes bei Pro j ektierung, 
Test, Inbet riebsetzung oder Hardwareausf all zu vereinf achen, 
konnen dem Anwender des elektronischen Gerats zwei Hilfen 
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angeboten werden. Die eine besteht darin, daft dem Anwender 
eine allgemein giiltige Memory Card zur Verfugung gestellt 
wird, deren Wertigkeitsbausteine den Wert oo enthalten. Mit 
dieser Memory Card sind alle geschutzten Bausteine unein- 
5 geschrankt ablauffahig. Die aridere Hilfe besteht darin, uber 
Parametrierung an einem Engineering-System die Recheneinheit 
des eiektronischen Gerats in eine Betriebsart „Probebetrieb" 
zu schalten. In dieser Betriebsart wird keine Uberprufung der 
Wertigkeit vorgenommen. Wiederum sind alle geschutzten Funk- 
10 tionsbausteine uneingeschrankt ablauffahig. Nach einer be- 

stimmten Zeit, z.B. nach 200 Stunden, lauft der Probebetrieb 
ab und die beschriebenen Schut zmechanismen werden wieder 
wirksam. 

15 Die Vermarktung von Wertigkeitsbausteinen kann beispielsweise 
uber Versand erfolgen. Der Anwender bestellt dazu schri'ftlich 
oder telefonisch unter Nennung der Seriennummer der Memory 
Card einen Wertigkeitsbaustein mit einer bestimmten Wertig- 
keit beim Hersteller, dessen Funkt ionsbausteinbibliothek er 

•20 verwendet. Der Hersteller kann beispielsweise der Hersteller 
des eiektronischen Gerats oder ein OEM sein. Bei diesem wird 
der Wertigkeitsbaustein erzeugt, auf Diskette gespielt und an 
den Besteller gegen Rechnung verschickt. 

25 Eine andere, vollig automat isch abwickelbare Moglichkeit zur 
Vermarktung bietet das Internet, Der Anwender wahlt sich in 
die Service-Homepage des Herstellers ein und findet dort 
einen Menupunkt ^Wertigkeitsbausteine bestellen" . Hier gibt 
er seinen Namen, seine E-mail-Adresse, die Seriennummer der 

30 Memory Card, die gewunschte Wertigkeit und die bevorzugte 

Zahlungsart, z. B. Rechnung oder Kreditkarte, ein und schickt 
die Bestellung ab. Ein Server kann beim Hersteller automa- 
tisch anhand dieser Angaben einen Wertigkeitsbaustein er- 
stellen und den Baustein per E-mail an den Besteller ab- 

35 schicken. 
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Alternativ zu dem gezeigten Ausf iihrungsbeispiel. kann ein 
Dongle, der. hier als Memory Card ausgebildet ist, als ein 
Hardwareschlussel implement iert werden, der im Stecker eines 
MPI-Verbindungskabels untergebracht oder, wenn keine MPI- 
Verbindung zum Einsatz kommt, als Blindstecker auf die MPI- 
Schnittstelle aufgesteckt wird. Diese Realisierungsvariante 
hat allerdings den Nachteil, dafi ein neuer Dongle entwickelt 
werden miifite, der eine neue, zusatzliche Hardwarekomponente 
darstellt. Der Dongle muiite zudem an zukunftige Weiter- 
entwicklungen der MPI-Schnittstelle angepalit werden.. 

Alternativ zu den nachladbaren Wertigkeitsbausteinen kann 
eine Gesamtwertigkeit im Kennbitspeicher der Memory Card 
hinterlegt werden, die somit nicht durch Software anderbar 
ist. Diese Gesamtwertigkeit deckt den Wert samtlicher ge- 
schutzter Software von Systemhersteller und von OEM ab. Die 
Memory Cards werden mit unterschiedlichen Wertigkeiten pro- 
duziert und erhalten als jeweils verschiedene Produkte auch 
unterschiedliche Bestellnummern . D. h., bei n verschiedenen 
Wertigkeiten mussen n verschiedene Typen von Memory Cards als 
Produkte gehalten und bevorratet werden. Bei dieser Variante 
ist keine Unterscheidung zwischen Systemhersteller und OEM 
moglich, da lediglich eine Gesamtwertigkeit fur beide gemein- 
sam hinterlegt wird. Da die Wertigkeit nicht nachtraglich ge- 
andert werden kann, entstehen die oben beschriebenen* ^Wertig- 
keitsleichen^ . 

Eine weitere Variante entsteht, wenn im Kennbitspeicher der 
Memory Card feste Summenwertigkeiten jeweils fur System- 
hersteller und OEM getrennt hinterlegt werden. Somit kann 
beim Sof twareschut z zwischen der Software des System- 
herstellers und des OEM unterschiedeh werden. Die Memory 
Cards werden mit unterschiedlichen Wertigkeiten produziert, 
wobei jede Wertigkeitskombinat ion einem eigenstandigen Pro- 
dukt mit Bestellnummer entspricht. Demgemafi vervielfacht sich 
die Anzahl der Produkte, die bevorratet werden mussen. Zu- 
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satzlich kann die OEM-Kennung den jeweiligen Wertig.keiten 
zugeordnet werden. 

Als weitere Alternative kann eine Memory Card geschaffen wer 
5 den, deren Kennbit speicher liber einen Bereich verfugt, in 
welchen Anwenderdaten geschrieben werden konnen. Dieser Be- 
reich sollte allerdings nur zuganglich sein, wenn der zu- 
gehorige Programmiermechanismus bekannt ist. Dort werden die 
Wertigkeit und die OEM-Kennung hinterlegt. Ein OEM benotigt 

10 in diesem Fall ein spezielles Programmiertool mit dem Pro- 
grammiermechanismus, urn auf diesen Bereich des Kennbit- 
speichers zugreifen zu konnen. Dieses Programmiertool kann 
als Erweiterung eines vom Hersteller der Memory Card zur 
Verfugung gestellten Engineering-Systems realisiert werden. 

15 Bei dieser Variante konnen OEMs die Wertigkeit und ihre 

Kennurig selbst andern. Somit mussen weniger Produkte bevor- 
ratet werden und der Schutz ist mit einem geringeren Auf wand 
verbuaden. 

20 Abweichend von dem beschriebenen Ausf uhrungsbeispiel konnen 
Wertigkeitsbausteine in den Speicher 2 Oder 3 des elektroni- 
schen Gerats geladen werden, so daft der Speicherbereich .der 
Einrichtung 12, in welchem eine maximal zulassige Wertigkeit 
fur die Runtime-Software auslesbar hinterlegt ist, durch 

25 einen Teil des Speichers 2 bzw. 3 ersetzt wird. In diesem 

Fall tragt die Einrichtung 12 eine eindeutige Identif ikation 
beispielsweise eine Seriennummer , und wird yorzugsweise als. 
austauschbares Hardwaremodul ausgebildet . 
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Patent anspriiche 

1. Elektronisches Gerat mit Softwareschutz 

- mit einer Recheneinheit (1) zur Abarbeitung eines Pro- 
gramms, 

■- mit einem Speicher . ( 2 ) , in den eine Betriebssystem- 
Software fur die Recheneinheit (1) geladen ist, 

- mit einem Speicher . (3) , in den Runtime-Software geladen 
ist, die zumindest einen Funkt ionsbaustein (7 . . . 11) 
enthalt, der mit einer Wertigkeit versehen ist, 

- mit einer Einrichtung (2, 3, 12), in welcher eine maximal 
zulassige Wertigkeit fur die Runtime-Software auslesbar 
hinterlegt ist, 

- wobei Mittel vorhanden sind zur Bestimmung der Summen- 
wertigkeit der Funktionsbausteine (4 ... 11) der 
Runtime-Software und zur Ausgabe eines Anzeigesignals 
(14), wenn die Summenwertigkeit die maximal zulassige 
Wertigkeit iibersteigt. 

2. Elektronisches Gerat nach Anspruch 1, dadurch gekenn 
zeichnet , 

- daft die Einrichtung (12), in welcher die maximal zulassig 
Wertigkeit fur die Runtime-Software auslesbar hinterlegt 
ist, als ein in das elektronische Gerat einsetzbares oder 
an das elektronische Gerat anschlieftbares Hardwaremodul 
ausgebildet ist . 

3. Elektronisches Gerat nach Anspruch 2, dadurch gekenn 
zeichnet, ' J . 

- daft" das Hardwaremodul eine Memory Card ist. 

4. Elektronisches Gerat nach einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, 

- daft eine Einrichtung (12) vorgesehen ist, die eine ein- 
deutige Identif ikation, insbesondere eine Seriennummer 
(21), aufweist, und 



0129636A2 I > 



WO 01/29638 



PCT/DEOO/03649 



17 

- daft die hinterlegte Wertigkeit als ladbarer Wertigkeits- 
baustein (22, 23, 24) ausgebildet ist, dernur fur die 
Einrichtung (13) mit der jeweiligen Ident if ikation Giiltig- 
keit besitzt. 

5. Elektronisches Gerat nach Anspruch 4, dadurch gekenn- 
zeichnet , 

- daft die Funktionsbausteine in Gruppen, insbesondere nach 
Herstellern, untergliedert sind, 

- daft jeder Gruppe eih. Wert igkeitsbaustein (22/ 23, 24) zu- 
geordnet ist und 

- daft Mittel vorhanden sind zur Bestiminung der Summen- 
wertigkeit der Funktionsbausteine einer Gruppe und zur 
Ausgabe eines Anzeigesignals , wenn die Summenwertigkeit 
die maximal zulassige Wertigkeit des j ewei ligeii Wert ig- 
keitsbausteins ubersteigt. 

6. Einrichtung, die als ein in ein elektronisches Gerat nach 
einem der vorhergehenden Anspruche einsetzbares Oder an das 
elektronische Gerat anschlieftbares Hardwaremodul , insbeson- 
dere als Memory Card, ausgebildet ist, dadurch gekenn- 
zeichnet, 

- daft in der Einrichtung eine maximal zulassige Wertigkeit 
fur eine Runtime-Software und/oder eine eindeutige Identi- 
fikation, insbesondere eine Seriennummer , durch das elek- 
tronische Gerat auslesbar hinterlegt ist. 

7 . Funktionsbaustein zur Verwendung in der Runtime-Software 
eines elektronischen Gerats nach einem der Anspruche 1 bis 5, 
dadurch g e k e n n z e i c h n e t , 

- daft der Funktionsbaustein mit einer Wertigkeit versehen 
ist. 
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